Cargando. Por favor, espere

Notas sobre datos biométricos en las relaciones laborales: sistema de control horario mediante huella dactilar

Notas sobre datos biométricos en las relaciones laborales: sistema de control horario mediante huella dactilar

Joaquín Delgado Martín

Magistrado. Doctor en Derecho

Miembro de la Red Judicial de Expertos en Derecho Europeo (REDUE)

Diario La Ley, 24 de Mayo de 2018, Wolters Kluwer

Diario La Ley, Nº 50, Sección Ciberderecho, 4 de Mayo de 2021, Wolters Kluwer

LA LEY 5231/2021

- Resumen del documentoLos datos biométricos pueden definirse como «datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos» (artículo 4.14 RGPD). El acceso y tratamiento de estos datos puede afectar a los derechos fundamentales de los trabajadores afectados; aún de forma grave, por ejemplo, cuando se utilizan para conocer sus comportamientos y conductas.

I. Concepto, clases y afectación a derechos fundamentales

Siguiendo a Rodríguez-Piñero (1) , se pueden establecer tres categorías. En primer lugar, datos fisiológicos: se refieren a características físicas y fisiológicas de la persona. Los datos fisiológicos más frecuentemente utilizados son la huella dactilar, el iris, la geometría de la mano, la retina, los vasos sanguíneos en determinadas partes del cuerpo, la voz, el sudor, las orejas y el ADN. En segundo término, datos relacionados con el comportamiento de la persona, con actuaciones o con la forma en que realizan ciertas conductas. Entre éstos destacan la escritura, el ritmo cardiaco, el ritmo respiratorio, la firma, la utilización de un teclado, la forma de conducir, la forma de andar o de moverse, y la marcha. Y, en tercer lugar, datos psicológicos, que incluyen la medición de la respuesta a situaciones concretas o pruebas específicas que se ajusten a un perfil psicológico; el Grupo de Trabajo del artículo 29 los califica como «emergentes», y se refiere a la forma de reaccionar de la persona a ciertas situaciones o pruebas, que pueden dar lugar a un perfil psicológico de ésta.

II. Sistema de control horario mediante huella dactilar

1. Tratamiento como dato personal

La huella dactilar es un dato personal, porque es información sobre una persona física identificada o identificable de conformidad con el artículo 4.1 del RGPD (LA LEY 6637/2016)

Su tratamiento es lícito porque existe base jurídica para su tratamientopor el empresario para un sistema de control horario mediante huella dactilar, y ello por cuanto dicho tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte (artículo 6 RGPD (LA LEY 6637/2016)): el contrato de trabajo

Solamente es dato personal de categoría especial cuando se trate de «datos biométricos dirigidos a identificar de manera unívoca a una persona física» (artículo 9.1 RGPD (LA LEY 6637/2016)), es decir, en el caso de que se sometan a un tratamiento técnico específico dirigido a identificar de manera unívoca a una persona física (Resolución AEPD en procedimiento n.o E/07273/2020).

¿Cuándo el tratamiento está dirigido a identificar de manera unívoca a una persona? Acudimos al Dictamen 3/2012 del Grupo del Artículo 29, que distingue dos supuestos:

  • Identificación biométrica: la identificación de un individuo por un sistema biométrico es normalmente el proceso de comparar sus datos biométricos (adquiridos en el momento de la identificación) con una serie de plantillas biométricas almacenadas en una base de datos (es decir, un proceso de búsqueda de correspondencias uno-a-varios).
  • Verificación/autenticación biométrica: la verificación de un individuo por un sistema biométrico es normalmente el proceso de comparación entre sus datos biométricos (adquiridos en el momento de la verificación) con una única plantilla biométrica almacenada en un dispositivo (es decir, un proceso de búsqueda de correspondencias uno-a-uno). Este procedimiento se emplea, por ejemplo, en las puertas de control automatizado de fronteras empleadas en los controles fronterizos de los aeropuertos (ejemplo dado por el Libro Blanco de la Inteligencia Artificial de la Comisión Europea)

Aun cuando se trate de datos de categoría especial, su tratamiento por el empresario es posible por aplicación de la excepción del artículo 9.2.b) del RGPD (LA LEY 6637/2016), según el cual la prohibición general de tratamiento de datos biométricos no será de aplicación cuando «el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado». Y en el Derecho español es posible a tenor del artículo 20.3 ET (LA LEY 16117/2015): «El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad y teniendo en cuenta, en su caso, la capacidad real de los trabajadores con discapacidad»

2. Obligaciones derivadas de las resoluciones de la AEPD

La Agencia Española de Protección de Datos establece una serie de obligaciones del empresario para este tratamiento (Resoluciones AEPD en procedimiento n.o E/07273/2020 (2) y E/03925/2020 (3) ):

  • 1. El empleado debe ser informado sobre estos tratamientos en los términos del artículo 13 del RGPD (LA LEY 6637/2016).
  • 2. Deben respetarse los principios de limitación de la finalidad, necesidad, proporcionalidad y minimización de datos. En todo caso, el tratamiento también deberá ser adecuado, pertinente y no excesivo en relación con dicha finalidad. Por tanto, los datos biométricos que no sean necesarios para esa finalidad deben suprimirse y no siempre se justificará la creación de una base de datos biométricos (Dictamen 3/2012 del Grupo de Trabajo del art. 29).
  • 3. Uso de plantillas biométricas (4) : Los datos biométricos deberán almacenarse como plantillas biométricas siempre que sea posible. La plantilla deberá extraerse de una manera que sea específica para el sistema biométrico en cuestión y no utilizada por otros responsables del tratamiento de sistemas similares a fin de garantizar que una persona solo pueda ser identificada en los sistemas biométricos que cuenten con una base jurídica para esta operación.
  • 4. El sistema biométrico utilizado y las medidas de seguridad elegidas deberán asegurarse de que no es posible la reutilización de los datos biométricos en cuestión para otra finalidad.
  • 5. Deberán utilizarse mecanismos basados en tecnologías de cifrado, a fin de evitar la lectura, copia, modificación o supresión no autorizadas de datos biométricos.
  • 6. Los sistemas biométricos deberán diseñarse de modo que se pueda revocar el vínculo de identidad.
  • 7. Deberá optarse por utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.
  • 8. Los datos biométricos deben ser suprimidos cuando no se vinculen a la finalidad que motivó su tratamiento y, si fuera posible, deben implementarse mecanismos automatizados de supresión de datos.

III. Bibliografía básica

  • Miguel RODRÍGUEZ-PIÑEIRO ROYO, «Las facultades de control de datos biométricos del trabajador», TEMAS LABORALES núm. 150/2019. Págs. 91-109
  • Lorea RONCAL GAINZA, «Biométrica y Control Laboral: ¿Injerencia o Control lícito?», Tribuna ELDERECHO.COM; https://elderecho.com/biometrica-control-laboral-injerencia-control-licito
  • • GRUPO DE TRABAJO DEL ARTÍCULO 29. «Dictamen 3/2012 sobre la evolución de las tecnologías biométricas», de 27 de abril de 2012; https://www.aepd.es/sites/default/files/2019-12/wp193 es.pdf
(1)

Miguel RODRÍGUEZ-PIÑEIRO ROYO, «Las facultades de control de datos biométricos del trabajador», TEMAS LABORALES núm. 150/2019. Págs. 91-109

Ver Texto
(2)

Esta Resolución AEPD archiva las actuaciones frente a varios hospitales de Madrid que habían establecido un sistema de control horario mediante huella dactilar

Ver Texto
(3)

Archiva las actuaciones frente a una sociedad

Ver Texto
(4)

La información biométrica bruta capturada es tratada de manera que solo se extraen ciertas características o rasgos (p. ej., mediciones faciales de una imagen) y se salvan como una plantilla biométrica (Dictamen 3/12 Grupo del Artículo 29, página 4)

Ver Texto
Queremos saber tu opiniónNombreE-mail (no será publicado)ComentarioLA LEY no se hace responsable de las opiniones vertidas en los comentarios. Los comentarios en esta página están moderados, no aparecerán inmediatamente en la página al ser enviados. Evita, por favor, las descalificaciones personales, los comentarios maleducados, los ataques directos o ridiculizaciones personales, o los calificativos insultantes de cualquier tipo, sean dirigidos al autor de la página o a cualquier otro comentarista.
Introduce el código que aparece en la imagencaptcha
Enviar
Scroll